Zo verwerk je veilig persoonsgegevens in het buitenland
Wissel jij persoonsgegevens uit met partijen in het buitenland? Weet jij waar je aan moet voldoen om een goed beschermingsniveau te waarborgen? Wij geven je een praktisch overzicht waar dit per land, binnen en buiten de EU, is toegelicht.
Belangrijk uitgangspunt is dat de bescherming van persoonsgegevens niet in alle landen op dezelfde manier geregeld is. Het doorgeven van persoonsgegevens vanuit Nederland naar het buitenland mag alleen als dit land voldoende bescherming biedt.
Binnen EU: Voldoen aan de Avg
Sinds de invoering van de Avg geldt binnen de gehele EU dezelfde privacywetgeving en is het niveau van gegevensbescherming gelijk. Er gelden geen extra regels voor het uitwisselen van gegevens. Zo kan je eenvoudig een klant (verwerkingsverantwoordelijke) hebben die in een ander EU land gevestigd is dan zijn IT-leverancier (verwerker). Klant en leverancier hoeven alleen te voldoen aan de algemene eisen die volgen uit de Avg. Lees onze 10 vragen over de Avg voor uitleg over begrippen als ‘verwerkingsverantwoordelijke’ ‘verwerker’ en ‘persoonsgegeven’.
Buiten EU: Ieder land anders
Voor de doorgifte van persoonsgegevens vanuit Nederland naar buiten de Europese Economische Ruimte – de derde landen- gelden andere regels. Zo moet er onder andere een passend beschermingsniveau zijn. Er bestaan een aantal opties voor het waarborgen van een passend beschermingsniveau in derde landen. We hebben ze voor je op een rijtje gezet. Maar let op: alleen het feit dat er een passend beschermingsniveau is in een land betekent niet dat persoonsgegevens doorgegeven mogen worden aan een leverancier in dit land. Aan de andere vereisten van de Avg dient nog steeds te worden voldaan. Denk bijvoorbeeld aan het afsluiten van een verwerkersovereenkomst.
Moet je voldoen aan de Avg? |
Zijn er aanvullende eisen? |
Waar moet je op letten? | |
| Binnen de EER Landen die lid zijn van de EU, plus Noorwegen, Liechtenstein en IJsland. Zie hier een actueel overzicht | Ja | Nee | Per 31 januari 2020 is Groot-Brittannië geen lid meer van de EER. Er geldt een overgangsfase, zodat tot 31 december 2020 alle EU-regels van kracht blijven. |
| Buiten de EER Veilige landen Andorra, Argentinië, (beperkt) Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw Zeeland, Zwitserland, Uruguay en (beperkt) VS Zie hier een actueel overzicht | Ja | Er moet een adequaatheidsbesluit zijn genomen. Daar kunnen aanvullende eisen in staan. | Canada: adequaatheidsbesluit geldt alleen voor commerciële organisaties. Verenigde Staten: adequaatheidsbesluit geldt alléén als de verwerkende partij zich heeft aangesloten bij EU-VS Privacy Shield; of als het gaat om Passenger Name Records. Let op: het Privacy Shield is ongeldig verklaard in de uitspraak Schrems II. Dit is met onmiddellijke ingang van kracht. Organisaties in de EU kunnen geen persoonsgegevens aan de VS meer doorgeven op grond van het Privacy Shield. Hier leggen we uit welke stappen je kan ondernemen als jouw organisatie persoonsgegevens doorgeeft aan een partij in de VS. |
| Buiten de EER Op basis van een overeenkomst | Ja | Ja, doorgifte kan op basis van een goedgekeurd modelcontract. Ook wel: Standaard contractual clauses | De Europese Commissie heeft drie modelcontracten goedgekeurd:
|
| Buiten de EER Op basis van een gedragscode * | Ja | Ja, een goedgekeurde gedragscode. | Onder de Avg kan een (sub)verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat. Er zijn op dit moment nog geen voor Europa goedgekeurde gedragscodes en certificaten. |
| Buiten de EER Geen van bovenstaande waarborgen, wel binnen je eigen organisatie. | Ja | Ja, goedgekeurde bindende bedrijfsvoorschriften die gelden binnen de diverse onderdelen van de groepsmaatschappij. | Bij de toezichthouder goedkeuring vragen voor en gebruik maken van Binding Corporate Rules (BCR’s) is een traject dat vooral interessant voor grote corporates die zich daarin goed laten adviseren. |
| Buiten de EER Geen van bovenstaande waarborgen. | Ja | Ja | Er zijn uitzonderingssituaties in de Avg. Deze uitzonderingen zijn met name bedoeld voor verwerkingsactiviteiten die incidenteel en niet repetitief zijn. Bijvoorbeeld: doorgifte op basis van toestemming van de betrokkene, noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of noodzakelijk voor het instellen van een rechtsvordering. |
* Afspraken op basis van een gedragscode
Onder de Avg kan een (sub)verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat. De Europese commissaris voor justitie, consumentenrechten en gendergelijkheid, Vera Jourová, ziet een rol weggelegd voor certificering en het aansluiten bij een gedragscode om aan te tonen dat is voldaan aan de verplichtingen van de Avg. De Europese Commissie heeft zich bereid verklaard om dit te faciliteren, maar de initiatieven daartoe moeten uit de markt komen. Dit sluit mooi aan bij de Data Pro Code van NLdigital, waarin we een op de (ICT)verwerker toegespitste uitleg geven aan de Avg. De Data Pro Code is in eerste instantie alleen van toepassing op Nederland.
Wil je individueel advies?
De juristen van NLdigital geven onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy, zoals het op een rechtmatige manier verwerken van persoonsgegevens in het buitenland. Je kunt eenvoudig contact met hen opnemen.
Het laatste nieuws
Nieuwe Ethische Code AI gelanceerd: ‘Meer dan alleen principes’
Bijna 10.000 nieuwe ICT-talenten opgeleid via CA-ICT
Het belang van innovatief aanbesteden: een stap naar een succesvolle digitale overheid
Rapport: ICT Markttoets Content Services Platform voor BZK
